Thursday, May 28, 2020
Yow Halo Exploiter, kali ini saya akan memberikan tutorial deface metode Shopify Custom Domain or Subdomain Takeover. Bagi yang belum tau, shopify adalah platform situs jual beli yang cukup populer. Dan nampaknya verifikasi di situs ini tidak ada lagkah tambahan selain hanya menggunakan cname dan a record yang telah ditentukan.
disini saya menggunakan situs pribadi saya sebagai contoh shop.hackerszone.top
Situs yang sebelumnya menggunakan Shopify, namun kemudian menghapus akun shopify nya namun domain masih mengarah ke CNAME milik Shopify rentan terhadap serangan domain takeover ini.
 |
| Sorry, This Shop is currently unavailable. |
Gambar Diatas adalah Contoh situs yang vuln untuk di take over.
domain yg bisa di take over adalah domain yang CNAME nya mengarah ke shops.myshopify.com dan A Record ( IP ) nya mengarah ke 23.227.38.65
Contoh, shop.hackerszone.top A Record / Web Ipnya mengarah ke 23.227.38.65, bagaimana cara kita mengeceknya ?? buka cmd / terminal kalian kemudian ketik
ping target.comcontoh :
ping shop.hackerszone.top
 |
| ping shop.hackerszone.top |
disitu kalian bisa lihat, bahwa A Record nya mengarah ke 23.227.38.65 itu vuln untuk di takeover
langsung saja kita daftar ke shopify.com KLIK INI
pake yg trial gak usah bayar, dan daftarnya biasa aja, gak perlu saya jelaskan :D
jika sudah daftar otomatis akan masuk ke dashboard web anda, kemudian klik Online Store > Domains
setelah itu klik connect existing domain
dan hubungkan target kalian
kemudian verify domain.
dan tunggu sampai domain target kalian ke take over
And Boom, Has Been Takeover :b
Hasil : http://shop.hackerszone.top/
Mirror : https://zone-xsec.com/archive/mirror/id/13040
Ok Itu Saja yg bisa saya sampaikan, kurang lebihnya mohon di terima :D
jangan lupa share artikel ini ke teman kalian :D